在應(yīng)用服務(wù)器架構(gòu)(A/S架構(gòu))中�,尤其是廣域網(wǎng)遠程應(yīng)用時�,安全是應(yīng)用的前提,瑞友天翼在網(wǎng)絡(luò)邊緣防護、傳輸過程加密�、身份認證、訪問控制���、操作系統(tǒng)安全等方面有著全面的防護設(shè)計與保護措施�,可確保遠程應(yīng)用的網(wǎng)絡(luò)安全及訪問安全����。下面我們?nèi)骊U述瑞友天翼在安全方面的防護處理措施
安全連接網(wǎng)關(guān)功能
功能說明:
選擇“集群設(shè)置”、“服務(wù)器地址設(shè)置”�����、“安全認證網(wǎng)關(guān)模式”���,啟用該功能����。該功能使客戶端和服務(wù)器之間增加一道網(wǎng)關(guān)���,用于簡化網(wǎng)絡(luò)配置,隔離服務(wù)器真實IP地址��、端口,網(wǎng)關(guān)內(nèi)部屏蔽非法連接減少企業(yè)內(nèi)部外部有意無意的對服務(wù)器進行攻擊����。
價值體現(xiàn):
簡化實施和維護:多臺天翼服務(wù)器共享一個網(wǎng)關(guān)端口,不需要在連接外網(wǎng)的路由器上對每臺天翼服務(wù)器配置一個映射端口���,只需要在路由器上做網(wǎng)關(guān)端口的映射即可�。該網(wǎng)關(guān)端口甚至容許做為天翼Web端口使用(做Web端口使用時��,瀏覽器打開Web頁面速度略有降低)�,那么對外網(wǎng)將只需要開放一個端口,直接簡化實施和維護時工作內(nèi)容����。
安全價值:
由于對外界只暴露一個端口,并且該端口是網(wǎng)關(guān)的端口�����,將真正地服務(wù)器地址和端口隱藏在后臺�,使得受攻擊的機會減少到最低。網(wǎng)關(guān)內(nèi)部屏蔽了各種非法連接����,提高了攻擊者檢測網(wǎng)關(guān)端口信息的難度����。
1����、接入架構(gòu)安全
瑞友天翼系統(tǒng)是基于應(yīng)用服務(wù)器架構(gòu)的應(yīng)用虛擬化平臺,在這種應(yīng)用架構(gòu)下�����,所有的計算功能都是在服務(wù)器上完成的����,服務(wù)器與客戶機之間的網(wǎng)絡(luò)中只傳輸鍵盤、鼠標移動變化指令和圖像矢量信息�,這些信息包即使被偵聽和截獲,也是一堆無用的信息����,所以天翼接入架構(gòu)的安全性是有保障的。
2��、天翼接入系統(tǒng)架構(gòu)安全
天翼采用一體化產(chǎn)品設(shè)計架構(gòu)���,無需依賴Microsoft IIS服務(wù)、Microsoft SQL數(shù)據(jù)庫等第三方產(chǎn)品,這種經(jīng)過嚴格安全處理的獨立產(chǎn)品架構(gòu)����,能有效的杜絕第三方產(chǎn)品存在的安全漏洞而給用戶帶來安全隱患,同時也不會出現(xiàn)因第三方軟件升級帶來的產(chǎn)品兼容性問題��,從而有效保障應(yīng)用的安全����。
1)天翼WEB服務(wù)安全
使用標準瀏覽器(IE)訪問應(yīng)用系統(tǒng),WEB服務(wù)的安全處理至關(guān)重要��,所以天翼系統(tǒng)WEB服務(wù)沒有選擇通用的第三方WEB服務(wù)產(chǎn)品來作為天翼的WEB服務(wù)��,而是投入巨大的財力��,針對遠程應(yīng)用的WEB安全特點�����,進行了專項開發(fā)��,并通過了高強度的安全攻擊測試���,可完全讓用戶摒棄對WEB安全隱患的擔(dān)憂��。
2)天翼數(shù)據(jù)庫服務(wù)安全
由于通用數(shù)據(jù)庫的安全漏洞難以有效防范�,所以天翼也沒有選用第三方通用的數(shù)據(jù)庫,而是針對網(wǎng)絡(luò)應(yīng)用的安全特性�,進行專項開發(fā),采用了內(nèi)置安全數(shù)據(jù)庫設(shè)計��,并進行了高強度的加密處理��,讓用戶無需擔(dān)心數(shù)據(jù)庫安全漏洞��,放心使用����。
3、邊緣網(wǎng)關(guān)安全
瑞友長期專注于網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全的研究����,可為用戶提供網(wǎng)絡(luò)的整體安全解決方案,如企業(yè)還沒有防火墻設(shè)備�����,瑞友網(wǎng)絡(luò)安全加速服務(wù)器(RSA Server)可承擔(dān)這一重任�,它是集深度防護型防火墻、快速VPN部署工具�、網(wǎng)絡(luò)訪問管理系統(tǒng)�����、WEB緩存服務(wù)器的綜合應(yīng)用系統(tǒng),完全能滿足用戶網(wǎng)絡(luò)安全的防護需求�。
RSA Server可以對網(wǎng)絡(luò)進行多層安全檢查和深入應(yīng)用層的安全防護,具有可靠的防攻擊�����、防欺騙以及防網(wǎng)絡(luò)病毒能力���;其強大的安全訪問控制能力和網(wǎng)絡(luò)在線監(jiān)控和信息分析功能�,幫助企業(yè)及時了解網(wǎng)絡(luò)運行中的安全狀況并進行管理��;RSA Server中的WEB網(wǎng)關(guān)緩存以及分布式緩存功能�����,可以加速對常用的WEB網(wǎng)站的訪問�,節(jié)約訪問時間和節(jié)省帶寬成本;RSA Server還可以輕松快速的部署VPN系統(tǒng)����,實現(xiàn)總部與異地分支機構(gòu)的安全互聯(lián)����。
RSA Server通過了國家公安部計算機信息系統(tǒng)安全質(zhì)量監(jiān)督檢驗中心的檢驗�,取得了計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證,在2005年的中國計算機報“一年一等待”網(wǎng)絡(luò)產(chǎn)品評選活動中��,RSA Server以其先進的防護設(shè)計���、細粒度的防護措施以及優(yōu)良的性能���,獲得廣大用戶及專家的一致好評,并獲得年度優(yōu)秀產(chǎn)品獎項�����。
4�、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全
雖然在瑞友天翼應(yīng)用服務(wù)器架構(gòu)下,客戶機與服務(wù)器之間通訊不傳輸真實數(shù)據(jù)�,只傳輸鼠標、鍵盤的點擊動作及圖像的矢量信息���,但瑞友天翼應(yīng)用虛擬化系統(tǒng)的RAP協(xié)議仍然在對傳輸在客戶端和服務(wù)器之間的數(shù)據(jù)包加密��,且可由用戶自行設(shè)置SSL(Secure Sockets Layer)和TLS的加密強度�,加密強度可高達到128位,最大限度的保障了傳輸過程的安全性��。
SSL/TLS是基于PKI(Public Key Infrastructure)信息安全技術(shù)�����,是目前Internet上廣泛采用的安全服務(wù)�����?���?梢蕴峁┩ㄓ嵵械臄?shù)據(jù)保密性���、完整性保護���;通過強制客戶端證書認證的TLS服務(wù),同時可以實現(xiàn)對客戶端身份和服務(wù)器端身份的雙向驗證����。
5、天翼遠程訪問安全及身份認證
1)����、圖形驗證碼設(shè)計
使用圖形附加碼也是一種雙因子認證技術(shù)手段��,每次用戶登錄時���,系統(tǒng)都會產(chǎn)生一個包含隨機數(shù)字的圖片,這個圖片顯示在用戶的登錄頁面上���,用戶輸入了用戶名�、密碼之外還需要輸入附加碼以保證認證信息的新鮮性�,從而為系統(tǒng)提供了更安全的認證手段,這種認證措施提供了雙因素認證的手段��,同時也不需要用戶購買任何的硬件令牌����,節(jié)省了用戶的開支。
2)用戶訪問身份認證
天翼系統(tǒng)除了自帶用戶名密碼認證控制外�����,還提供用戶名密碼+令牌����、用戶名密碼+USBKey以及用戶名密碼+手機短信等多種三方身份認證接口�����,為用戶提供高安全的訪問保障�。
在選擇采用IKey模式后的登陸界面
6��、細粒度的應(yīng)用程序訪問策略控制
1)��、訪問安全策略
天翼系統(tǒng)可將每個應(yīng)用連接做到細粒度訪問控制���,可以設(shè)置到某一個應(yīng)用程序的訪問策略,包括允許訪問的客戶端是采用什么網(wǎng)絡(luò)協(xié)議連接����、客戶端的IP地址或硬件ID、在哪一天的什么時間段可以訪問等綜合策略�,為天翼系統(tǒng)所發(fā)布的應(yīng)用程序提供訪問安全保障,防止被惡意用戶不正當?shù)脑L問����。
2)、應(yīng)用系統(tǒng)授權(quán)訪問
天翼系統(tǒng)可針對發(fā)布的某一個應(yīng)用系統(tǒng)或關(guān)鍵資源進行用戶(組)權(quán)限授權(quán)��,完全滿足用戶細致的訪問權(quán)限管理,如您可以設(shè)置到哪一個用戶能訪問哪一個應(yīng)用程序���。
如上圖所示���,可設(shè)定6個天翼用戶中的user01、user02����、user03等三個用戶有權(quán)限操作發(fā)布的word2003程序。
7�、天翼安全事件管理
天翼系統(tǒng)可為用戶提供所有用戶及網(wǎng)絡(luò)訪問活動監(jiān)控,可記錄所有用戶的全部訪問與操作信息�,可通過安全事件、審計事件����、報警日志、會話日志等多角度去監(jiān)控與管理整個應(yīng)用安全狀態(tài)��,做到可記錄��、可追溯��、動態(tài)報警的安全管理��,從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)及解決安全應(yīng)用問題。見下圖
8��、服務(wù)器系統(tǒng)安全
天翼系統(tǒng)全面兼容Windwos系統(tǒng)的安全策略�,它包括3項內(nèi)容:用戶策略、AD策略���、NTFS設(shè)置(個別文件的設(shè)置��、非系統(tǒng)盤的設(shè)置���、系統(tǒng)盤的設(shè)置),這些安全策略可與天翼系統(tǒng)緊密結(jié)合起來�����,用戶可根據(jù)自身情況����,限制用戶的各種行為��,如隱匿硬盤����、限制打印���、存儲等操作行為,并可通過天翼5的安全策略����,實現(xiàn)對接入客戶端電腦的各種USB、硬盤���、串口�、并口資源的使用限制���,保障系統(tǒng)的安全���、可靠、持續(xù)運行�,將Windows操作系統(tǒng)B2級的安全管理完完全全的發(fā)揮出來。且天翼系統(tǒng)提供常見的安全策略模板��,讓用戶快速實現(xiàn)系統(tǒng)安全策略配置�。
